- 27,514
- 46
- 8 Ноя 2022
Обычная невнимательность обернулась полным разоблачением сложной схемы.
Специалисты обнаружили масштабную инфраструктуру ботнета, развёрнутую на базе ошибочно открытого каталога на сервере в Иране. Утечка позволила восстановить почти всю цепочку работы оператора — от настройки сети обхода блокировок до создания инструментов для атак и управления заражёнными устройствами.
Инцидент выявили аналитики Hunt.io во время мониторинга открытых серверов. Один из узлов с адресом 185.221.239[.]162 содержал сотни файлов, включая конфигурации, исходный код и историю команд. Сервер принадлежал иранскому провайдеру Dade Samane Fanava Company и использовался как точка входа в более широкую инфраструктуру.
Анализ TLS-сертификата помог раскрыть сеть из 15 узлов. Семь серверов размещались у хостинг-провайдера Hetzner в Финляндии, ещё семь — у иранских операторов связи. Дополнительный узел находился в Лондоне у OVH. Все элементы объединяла единая схема — входящий трафик шёл через Иран, а выходные точки располагались за рубежом.
Конфигурационные файлы показали, что сеть применяли не только для атак. Сервер выполнял роль туннеля на базе Paqet — инструмента обхода интернет-фильтрации. Трафик направлялся через KCP с шифрованием, что позволяло маскировать активность и обходить глубокую проверку пакетов.
История bash-команд раскрыла три этапа работы оператора. Сначала развернули туннельную инфраструктуру и отладили прокси-сервисы. Затем начались эксперименты с DDoS-инструментами . На сервере компилировали программы на C для SYN- и UDP-флуда, а также запускали MHDDOS против конкретных целей, включая игровой сервер FiveM.
Заключительный этап показал переход к созданию ботнета. Скрипт ohhhh.py использовал список учётных данных для массового подключения по SSH . Одновременно открывались сотни сессий, после чего на удалённых машинах компилировался вредоносный клиент и запускался в фоновом режиме. Исполняемый файл маскировали под «hex», чтобы снизить вероятность обнаружения.
Дополнительный скрипт yse.py позволял оператору быстро останавливать все процессы на заражённых узлах. Основной бинарный клиент — образец вредоносного ПО — содержал функции связи с управляющим сервером, передачу информации о системе и команды для запуска атак. В коде обнаружили механизм автоматического переподключения, что делает заражённые машины устойчивыми к сбоям инфраструктуры.
Косвенные признаки — использование иранских провайдеров , комментарии на фарси и архитектура обхода блокировок — указывают на происхождение оператора. При этом характер целей и уровень инструментов не похожи на деятельность, связанную с государственными структурами. Скорее, речь идёт о частной или коммерческой активности.
Инцидент наглядно показывает, как одна ошибка в настройке сервера раскрывает всю операционную схему. В данном случае открытый каталог позволил проследить полный цикл — от построения сети до атак и управления ботнетом .
Специалисты обнаружили масштабную инфраструктуру ботнета, развёрнутую на базе ошибочно открытого каталога на сервере в Иране. Утечка позволила восстановить почти всю цепочку работы оператора — от настройки сети обхода блокировок до создания инструментов для атак и управления заражёнными устройствами.
Инцидент выявили аналитики Hunt.io во время мониторинга открытых серверов. Один из узлов с адресом 185.221.239[.]162 содержал сотни файлов, включая конфигурации, исходный код и историю команд. Сервер принадлежал иранскому провайдеру Dade Samane Fanava Company и использовался как точка входа в более широкую инфраструктуру.
Анализ TLS-сертификата помог раскрыть сеть из 15 узлов. Семь серверов размещались у хостинг-провайдера Hetzner в Финляндии, ещё семь — у иранских операторов связи. Дополнительный узел находился в Лондоне у OVH. Все элементы объединяла единая схема — входящий трафик шёл через Иран, а выходные точки располагались за рубежом.
Конфигурационные файлы показали, что сеть применяли не только для атак. Сервер выполнял роль туннеля на базе Paqet — инструмента обхода интернет-фильтрации. Трафик направлялся через KCP с шифрованием, что позволяло маскировать активность и обходить глубокую проверку пакетов.
История bash-команд раскрыла три этапа работы оператора. Сначала развернули туннельную инфраструктуру и отладили прокси-сервисы. Затем начались эксперименты с DDoS-инструментами . На сервере компилировали программы на C для SYN- и UDP-флуда, а также запускали MHDDOS против конкретных целей, включая игровой сервер FiveM.
Заключительный этап показал переход к созданию ботнета. Скрипт ohhhh.py использовал список учётных данных для массового подключения по SSH . Одновременно открывались сотни сессий, после чего на удалённых машинах компилировался вредоносный клиент и запускался в фоновом режиме. Исполняемый файл маскировали под «hex», чтобы снизить вероятность обнаружения.
Дополнительный скрипт yse.py позволял оператору быстро останавливать все процессы на заражённых узлах. Основной бинарный клиент — образец вредоносного ПО — содержал функции связи с управляющим сервером, передачу информации о системе и команды для запуска атак. В коде обнаружили механизм автоматического переподключения, что делает заражённые машины устойчивыми к сбоям инфраструктуры.
Косвенные признаки — использование иранских провайдеров , комментарии на фарси и архитектура обхода блокировок — указывают на происхождение оператора. При этом характер целей и уровень инструментов не похожи на деятельность, связанную с государственными структурами. Скорее, речь идёт о частной или коммерческой активности.
Инцидент наглядно показывает, как одна ошибка в настройке сервера раскрывает всю операционную схему. В данном случае открытый каталог позволил проследить полный цикл — от построения сети до атак и управления ботнетом .
- Источник новости
- www.securitylab.ru
